CVE-2025-54309

plus petit que 1 minute de lecture

Mis à jour : September 04, 2025

Accès administratif non authentifié via une faille AS2 dans CrushFTP

Une vulnérabilité (CVE-2025-54309) a été identifiée dans CrushFTP pour les versions antérieures à 10.8.5 et 11.3.4_23. Elle est causée par une validation inadéquate du protocole AS2 sur HTTPS lorsque la fonctionnalité de proxy DMZ n’est pas activée.

Points Clés :

Nature de la vulnérabilité : Mauvaise gestion des requêtes AS2 sur HTTPS.
Impact : Permet à des attaquants distants non authentifiés d’obtenir un accès administratif.
Mécanisme : L’attaquant peut forger des requêtes AS2, contournant les contrôles d’authentification, et envoyer des commandes administratives.

Vulnérabilité :

CVE : CVE-2025-54309

Recommandations :

Mettre à jour CrushFTP vers la version 10.8.5 ou 11.3.4_23 ou une version ultérieure.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-54309

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast